Специалисты в области безопасности сотрудничают и обмениваются разнообразной информацией в разных ситуациях, и рамки корпоративной принадлежности им в этом не помеха. Однако ситуации, когда специалисты, работающие в разных антивирусных компаниях, объединяют свои усилия для написания заметки в корпоративный веблог, встречаются нечасто.

Когда Джон Лейден (John Leyden) из онлайн-издания The Register писал статью о спорах, разгоревшихся после проведенной «Лабораторией Касперского» эффектной демонстрации того, как производители антивирусного ПО «перенимают» друг у друга ложные срабатывания, он обратился к нам обоим с вопросами. Проблема эта очень серьезная, потому что она может вносить – и вносит – серьезный перекос в результаты сравнительного тестирования и анализа уровня обнаружения, демонстрируемого антивирусными продуктами. Ответив на вопросы Джона, мы продолжили дискуссию по электронной почте и пришли к выводу, что (как и вся антивирусная индустрия) сходимся в оценке всех ключевых аспектов проблемы. Мы пришли к выводу, что прояснить эти аспекты важнее, чем продолжать дискуссию относительно деталей проведенной «Лабораторией Касперского» демонстрации.

Тот факт, что в рамках демонстрации в качестве канала для распространения «искусственных» ложных срабатываний среди производителей антивирусных продуктов был использован сервис Virus Total, не следует ставить этому сервису в вину. Компания Hispasec (владалец Virus Total) никогда не одобряла применение ее сервиса в качестве замены сравнительному тестированию или его использование для валидации образцов, поскольку и в том, и в другом случае результаты никак нельзя считать достоверными.

Само по себе использование нескольких решений для проверки объектов не является проблемой, независимо от того, размещены ли сканеры на общедоступных сайтах, ресурсах для специалистов или установлены тестовыми или антивирусными компаниями на собственном оборудовании. Проверка образцов несколькими антивирусными программами, безусловно, имеет смысл как инструмент сравнительного анализа или как подготовка к более детальному исследованию. Однако польза от такой проверки зависит от знаний пользователя и понимания им того, как правильно пользоваться этим инструментом.

Большинство тестовых организаций и антивирусных компаний хорошо разбираются в этой проблематике, однако она часто не учитывается в достаточной степени при организации тестирования. Проведенный «Лабораторией Касперского» эксперимент привлек к проблеме внимание некоторых журналистов и издателей, которым больше других следует ее осознавать и которые, вероятно, обратили бы куда меньшее внимание на презентацию, будь она не такая спорная.

Как участники Организации по стандартам тестирования антивирусных решений (Anti-Malware Testing Standards Organization – AMTSO), мы полностью разделяем позицию, что уход от статического тестирования и переход к динамическому – это верное направление. Мы надеемся, что все большее число журналистов, пишущих обзоры, осознают, что динамическое тестирование на небольшом числе прошедших должную валидацию образцов обеспечивает более адекватную оценку уровней обнаружения при меньшем риске непреднамеренного перекоса в ту или иную сторону. Чем больше людей будет это понимать, тем легче будет антивирусным компаниям сосредоточиться на обнаружении реальных угроз, а не образцов, которым не место в тестовых коллекциях.

Магнус Калькуль, ведущий региональный эксперт «Лаборатории Касперского» в Германии.

Дэвид Харли, руководитель отдела исследований вредоносного ПО ESET.

Приходилось ли вам сталкиваться с ложными срабатываниями при загрузке файлов на такие сайты, как VirusTotal? Бывает, что файл неверно определяется как вредоносный не одним сканером, а несколькими. В результате возникает абсурдная ситуация, когда каждый продукт, не детектирующий такой файл, автоматически предстает в невыгодном свете перед пользователями, не понимающими, что дело не в пропуске вредоносного файла одним продуктом, а в ложном срабатывании других.

Как это ни печально, с подобной ситуацией зачастую приходится сталкиваться и при тестировании антивирусных продуктов, особенно в статических тестах, основанных на проверке по требованию. Коллекции вредоносных программ, используемые в подобных тестах, могут насчитывать сотни тысяч файлов. Естественно, валидация такого большого числа образцов требует значительных ресурсов. Поэтому большинство тестовых лабораторий имеют возможность проверить лишь часть файлов. А что же остальные? Единственный способ разделить файлы на категории — это сочетать репутационную оценку источника и проверку несколькими антивирусными решениями. Как и в приведенном выше примере с VirusTotal, это означает, что любая компания, решения которой не детектируют образцы, детектируемые продуктами других компаний, будет выглядеть неубедительно — даже если на самом деле образцы испорчены или совершенно чисты.

Значимость хороших результатов тестирования продуктов для антивирусных компаний трудно переоценить. Поэтому в нынешней тенденции добавлять обнаружение файлов на основе результатов проверки несколькими антивирусными сканерами нет ничего удивительного. Конечно, антивирусные компании, в том числе и «Лаборатория Касперского», уже не первый год проверяют подозрительные файлы и продуктами других вендоров. Несомненно, знать, каковы результаты проверки файлов чужими сканерами, полезно. Например, если продукты десяти антивирусных компаний определяют подозрительный файл как троянец-загрузчик, это дает вам отправную точку при анализе этого файла. Но сейчас мы видим вовсе не это: подстегиваемые необходимостью добиваться хороших результатов в тестах, антивирусные компании последние годы стали все чаще прибегать к проверке файлов сканерами от разных вендоров для определения вредоносности. Конечно, никому эта ситуация не нравится: в конечном счете, наша задача — защищать пользователей, а не использовать слабые места методик тестирования себе во благо.

Именно поэтому один немецкий компьютерный журнал провел эксперимент, результаты которого были объявлены на конференции по безопасности, прошедшей в прошлом октябре. Суть эксперимента заключалась в следующем: был создан чистый файл, нас попросили добавить в базы запись, позволяющую детектировать (неверно) этот файл. Затем файл был загружен на VirusTotal. Спустя несколько месяцев этот файл детектировался на VirusTotal более чем 20 сканерами. После этого сообщения представители нескольких антивирусных компаний, присутствовавшие на мероприятии, согласились, что необходимо найти решение этой проблемы. Но детектирование на основе проверки несколькими сканерами — лишь симптом: корень проблемы лежит в самой методике тестирования.

К сожалению, в этой области у антивирусных компаний чрезвычайно ограниченные возможности. Ведь тесты заказывают журналы. Если есть выбор между дешевым статическим тестом на коллекции из миллиона образцов (звучит внушительно, но некоторым образцам уже несколько месяцев) и дорогим динамическим тестом с меньшим числом образцов, прошедших валидацию и еще не включенных в антивирусные базы, большинство журналов выберут первый вариант.

Как я уже говорил, антивирусные компании, как и большинство тестовых лабораторий, знают о проблеме, и она их совсем не радует. Именно в целях совершенствования методик тестирования два года назад несколько антивирусных компаний (в их числе и наша), а также независимых исследовательских и тестовых организаций создали — Организацию по стандартам тестирования антивирусных решений (Anti-Malware Testing Standards Organization — AMTSO). И все же ключевая роль принадлежит журналистам. Вот почему мы решили проиллюстрировать проблему на нашем недавнем пресс-туре в Москве, на который были приглашены журналисты со всего мира. Конечно же, нашей целью было не дискредитировать другие антивирусные компании (приводились, в частности, примеры того, как наши продукты детектировали файл только потому, что его детектировали решения других компаний), а продемонстрировать негативные последствия проведения дешевых тестов, основанных на проверке по требованию.

То, что мы сделали, в большой степени повторяло прошлогодний опыт немецкого журнала, только на большем числе образцов. Мы создали 20 чистых файлов и добавили ложное детектирование для десяти из них. В течение следующих нескольких дней мы неоднократно загружали эти двадцать файлов на VirusTotal. Через десять дней все 10 детектируемых нами (но не вредоносных) файлов детектировались решениями максимум 14 других антивирусных компаний. В некоторых случаях это можно было объяснить настроенными на обнаружение максимального числа файлов эвристиками, но практика добавления в базы образцов, детектируемых несколькими антивирусными решениями, несомненно, повлияла на результат. Мы раздали журналистам использованные нами образцы, чтобы дать им возможность самим провести тесты. Мы понимали, что это может быть связано с определенным риском: поскольку в своем отчете мы также касались вопросов интеллектуальной собственности, существовала опасность, что журналисты сосредоточатся на том, кто у кого копирует данные, а не на главной проблеме (добавление в базы файлов, детектируемых несколькими антивирусными решениями, — это симптом болезни, а не причина ее). Но, в конце концов, именно журналисты имеют возможность заказывать более совершенные тесты, так что с чего-то надо было начать.

Итак, каковы перспективы? Хорошая новость состоит в том, что в последние несколько месяцев некоторые тестовые лаборатории приступили к разработке новых методик тестирования. Вместо статических тестов, основанных на проверке по требованию, они пытаются тестировать всю цепочку защитных компонентов: модуль антиспама -> «удаленная» (in the cloud) защита -> сигнатурная защита -> эмуляция -> поведенческий анализ в режиме реального времени и т.д. В конечном счете, дело за журналами: им следовало бы заказывать подобные тесты и отказываться от устаревших подходов.

Если удастся избавиться от статических тестов, основанных на проверке по требованию с применением массы не прошедших валидацию образцов, копирование чужой классификации файлов как минимум значительно сократится, а результаты тестов станут больше соответствовать действительности (даже если это означает, что придется попрощаться с уровнями обнаружения 99,x%). В конечном счете, это принесет пользу всем: прессе, пользователям и, конечно, антивирусным компаниям.

Только что выпущена новая (четвертая) версия mwcollectd – новое поколение низкоинтерактивной ловушки (honeypot), предназначенной для сбора образцов вредоносных программ. Она написана на языке C++, но благодаря простоте интеграции дополнительных модулей Python исследователи вредоносных программ по всему миру смогут без проблем расширить ловушку, добавив новые протоколы и функции.

Мы рады, что нам довелось выступить спонсором этого проекта, основную часть работы над которым проделали Георг Вихерски (Georg Wicherski) — вирусный аналитик «Лаборатории Касперского» в Германии — и Марк Шлессер (Mark Schloesser) из университета RWTH Aachen. Программа распространяется по лицензии LGPL. Если вы хотите взглянуть на mwcollectd, то ее можно найти вот здесь: code.mwcollect.org, а библиотеку libemu, используемую mwcollectd, можно взять отсюда.

Копенгаген расположен на двух островах (Зеландия и Амагер) и широко известен своей культурной жизнью и достопримечательностями (а также тем, что он занимает 14-е место в списке самых дорогих городов мира, публикуемом журналом Forbes). Подобную информацию можно найти в любом путеводителе, но статистики по беспроводным сетям вы там точно не найдете. Вот мы и решили сами разведать ситуацию.

Пару недель назад Дэвид писал об антивирусных тестах ConsumerReports, ради которых было создано около 5,5 тысяч новых версий вредоносных программ.

Недавно автор heise.de, одного из наиболее популярных немецких веб-сайтов IT-тематики, вновь затронул эту тему, раскритиковав реакцию антивирусных компаний: «[они] не замечают, что их протесты звучат, как протесты продавцов автомобилей Mercedes, жалующихся на "лосиные тесты" только потому, что на свете достаточно реальных аварий, по которым можно оценить безопасность их автомобилей».

Подобное сравнение бессмысленно: в контексте тестирования антивирусов «реальная авария» — это компьютер или сеть, зараженные вредоносной программой; а «лосиный тест» — управляемое лабораторное тестирование. Мы не имеем ничего против лабораторных тестов до тех пор, пока в них используются те же вредоносные программы, что присутствуют в интернете. Также мы с интересом следим за тестами антивирусов с устаревшими базами — подобные сравнения позволяют установить уровень проактивной и эвристической защиты.

Но никакой пользы от использования в тестах специально созданного набора вредоносных программ я не вижу. И аргумент, что эти новые зловреды всё равно никогда не попадут в сеть, здесь не при чем. Подобные тесты в конечном итоге могут привести к появлению соперничества между тестерами, которые будут создавать всё новые и новые вредоносные программы, чтобы обмануть максимально возможное количество антивирусных пакетов. Всё это, разумеется, будет делаться в интересах безопасности... но в результате в выигрыше останутся только вирусописатели, а в проигрыше — обычные пользователи.

Недавно в Германии попытались взорвать железнодорожные поезда, что послужило причиной для возобновления разговоров о том, как подобные угрозы можно предугадывать и предупреждать. В рамках дискуссии в перекрестье прицела попала тема шифрования — ведь именно шифрование позволяет террористам общаться друг с другом скрытно от чужих глаз.

Однако не каждый пользующийся шифрованием является террористом. Для обычного пользователя (домашнего или делового — выбирайте сами), шифрование — не более чем метод обеспечения своей безопасности во время передачи конфиденциальной информации через интернет или пресечения неавторизованного доступа к ней, например, в случае кражи ноутбука. Шифрование не обязательно опасно; наоборот, если кто-то использует шифрование, то это показывает насколько ответственно человек подходит к обеспечению безопасности своей информации.

Некоторые немецкие политики призывают к законодательному запрету шифрования или к тому, чтобы все ключи шифрования обязательно передавались государству. Подобные заявления лишь показывают, насколько далеко может находиться закон от реальности. В конец концов, взрывать поезда тоже незаконно — что ничуть не помешало террористам в осуществлении их планов. Запрет на использование шифрования с целью противостояния терроризму — это бесполезная инициатива; она никак не помешает террористам, но причинит массу неудобств законопослушным пользователям, внимательно относящимся к защите своей информации.

Если бы кто-нибудь предложил запретить запирать двери домов из соображений безопасности, то в прессе поднялся бы страшный крик. Но когда речь заходит о безопасности информации, то почему-то все методы оказываются хороши. Подобное непонимание сути проблемы заставляет меня опасаться того, что суровые запреты на использование шифрования все-таки могут вскоре прописаться в кодексах и законах Германии.

Вредоносные программы для компьютеров существуют более 20 лет, но их настоящий «расцвет» начался только после рождения интернета.

Вплоть до сегодняшних дней игровые консоли были более-менее защищены от вредоносных программ. Да, появлялись троянцы для Nintendo DS (Trojan.Nintendo.Taihen.a и Taihen.b) и для Sony Playstation Portable (Trojan.PSP.Brick.a), но количество пострадавших было невелико. Причина этого кроется в том, что для запуска на консоли так называемого homebrew-софта (т.е. приложений, не одобренных производителем консоли) консоль необходимо взламывать.

Для Sony Playstation 2 доступна полноценная рабочая версия Linux (та же Linux будет доступна и на Playstation 3), на которой, по большому счету, нельзя делать ничего, кроме как программировать. Правда, любая созданная на подобных Linux-системах программа сможет работать только на тех консолях Playstation, на которых также установлена Linux.

Недавно Microsoft объявила о том, что в ближайшем будущем пользователи смогут приобрести платформу для разработки по цене $99 за один год использования — никакой Linux там не будет. Созданные при помощи этой платформ программы смогут запускаться только на тех Xbox, пользователи которых оплатили подписку, а переносить эти программы на другие консоли можно будет только в виде исходных кодов. С точки зрения безопасности это очень мудрое решение.

Надеюсь, что в ближайшем будущем картина не изменится. Если Sony, Microsoft, Nintendo или хакеры позволят обмениваться пользовательскими программами через интернет, то это откроет ящик Пандоры. Сочетание беззащитных игровых консолей, интернета и возможности использовать множество ранее неизвестных уязвимостей превратят игроков, по сию пору остававшихся иммунными к вредоносным программам, в мишень для вирусописателей.

В средние века пароль был простым словом, которое использовали, чтобы попасть в закрытую крепость, на тайное собрание или в любое иное место с ограниченным доступом. В наши дни пароль перестал быть просто словом, трансформировавшись в нечто вроде «hTfd4Xz».

Существуют применения, в которых пароль не обязан быть сложным, потому как пользователя заставляют ждать несколько секунд перед повторением попытки ввода (например, при подключении к какому-либо серверу), или потому что система заблокирует дальнейшие попытки после достижения определенного количества ввода неправильных паролей (например, в банкоматах). Это означает, что перебор всех возможных вариантов (атака «грубой силой») здесь не слишком эффективен.

Но для защищенных носителей информации ситуация иная: если они попадут в неправильные руки, то атакующий сможет подключить их к своему компьютеру и перепробовать все варианты паролей без каких-либо ограничений по частоте ввода новых вариантов.

Большинство шифрующих программ требуют от пользователя ввода не самого ключа шифрования, а пароля, который затем используется для генерации ключа. Как и любой другой, пароль, используемый в программе шифрации, должен быть сравнительно сложным. Сто лет назад сгодился бы пароль вроде «Король Ричард», но сегодня подобный пароль могут взломать за несколько секунд, воспользовавшись «словарной атакой».

Десять лет назад «достаточно защищенными» считались ключи и пароли длиной 40 бит. Сегодня для перебора всех возможных вариантов подобных паролей потребуется всего лишь несколько часов.

В наши дни минимально приемлемой длиной ключа стал ключ в 128 бит, и всё чаще встречаются ключи длиной 256 бит. Здесь и спряталась очередная проблема: если данные защищены ключом длиной в 256 бит, то и пароль должен иметь соответствующую длину, иначе подобная защита становится бессмысленной.

Давайте предположим, что в пароле можно использовать латинские строчные и прописные буквы и цифры — это дает нам 62 варианта на один символ. Для пароля длиной в 43 символа возможно 1,18e+77 вариантов, что близко к сложности 256-битного ключа (1,15e+77 вариантов). Но есть ли такие пользователи, которые смогут запомнить пароль из 43 букв, например, «jZ85xfbgGjf52d2sS8gd43ahfFR5rG3qZ4wF425FfVf»? И у кого есть время вводить столь длинные строки из бессмысленных букв и цифр? Кроме того, подобные пароли вряд ли будут часто менять, что, разумеется, необходимо делать из соображений безопасности.

Какие еще есть варианты? Трюки вроде использования первых букв заученного предложения (например, «My cat likes to bounce off my furniture» -> «Mcltbomf») подходят плохо: статистическая вероятность появления в подобных паролях определенных букв снижает их разнообразие и, соответственно, защиту от подбора. Подобные пароли помогают пользователям, но не повышают степень защищенности информации.

Остается признать, что мощность современных технологий взлома паролей превысила наши возможности по их запоминанию. До тех пор, пока не изобретут способов улучшения человеческой памяти, пароли придется хранить на USB-дисках или иных схожих устройствах — и смириться с риском того, что это устройство могут украсть вместе с зашифрованными данными.

Грустно, но это так: в области шифрации данных пароли отжили свой век.

Согласно сайту Wikipedia, основными статьями экспорта страны Нигерия являются какао-бобы и нефть. Но вы вряд ли найдете в туристических путеводителях упоминания о том, что Нигерия также знаменита благодаря своей роли в «Афере-419», широко известной в Германии под названием Nigeria Connection.

В прошлый четверг немецкая полиция арестовала 34-летнего жителя Берлина, которого подозревают в участии в «нигерийской афере». Подозреваемый продавал на онлайн-аукционах несуществующие товары, в результате чего пострадавшие потеряли в сумме около 70000 евро. Его жертвы переводили деньги на нелегально открытый банковский счет, с которого они затем снимались в не оборудованных видеокамерами банкоматах.

Но не менее популярна в «нигерийской афере» обратная схема: мошенники исполняют роль покупателей, а не продавцов, предлагая подозрительно высокую цену за какой-нибудь компактный товар вроде мобильного телефона или ноутбука. Затем они просят продавца как можно скорее отправить товар в Нигерию, объясняя свою просьбу тем, что покупка, например, предназначена в подарок их детям.

Зачастую воображение преступников порождает самые удивительные истории. Вот фрагменты отправленных аферистами пострадавшим продавцам электронных писем:

«Я живу в Австралии. Я хочу купить этот товар для своего мужа, который уехал в Нигерию по христианской программе».

«Сейчас я живу в Осаке, Япония по гуманитарной программе. Я хочу купить это для своего сына в Нигерии».

«Я доктор Кристи Огиева, одна из докторов пытающихся поставить под контроль эпидемию птичьего гриппа в Турции. (...) для моего сына, учащегося в Нигерии, на его день рождения».

Жертвам обещают перевести все деньги и оплатить пересылку товара после того, как они его отправят. Обычно мошенники просят указывать полный адрес, рабочий номер телефона, адрес электронной почты и подробную информацию о банковском счете. В некоторых случаях продавцам даже обещали привезти деньги за товар самостоятельно. И как это не странно, находятся люди, которые в это верят.

«Нигерийская афера» действует уже несколько лет, но по сегодняшний день люди становятся её жертвами. Члены группы «нигерийских аферистов», скорее всего, не столь многодетны, как они заявляют, но они совершенно точно изобретательны. И они будут продолжать использовать свое богатое воображения для обмана наивных пользователей онлайновых аукционов.

В субботу в Висбадене (Германия) завершилась выставка Linuxtag 2006. Согласно утверждениям организаторов, это самая большая в Европе выставка, посвященная Linux. После разговоров с посетителями стенда «Лаборатории Касперского» мы неожиданно осознали главную угрозу безопасности Linux-систем — всеобщую уверенность в неуязвимости Linux.

Практически все посетители признавали необходимость защиты Windows от вредоносных программ (правда, даже на посвященной Linux выставке встречались люди, уверенные, что для защиты от вирусов и червей достаточно межсетевого экрана), но мало кто всерьез воспринимал необходимость подобной защиты для Linux — в конце концов, говорили они, пользователь Linux никогда не выходит в сеть с правами администратора подобно большинству пользователей Windows XP.

Но в этой точке зрения есть несколько серьезных недочетов:

• для того, чтобы удалить пользовательскую папку или получить доступ к пользовательской информации права администратора и не нужны — достаточно запустить вредоносную программу с правами пользователя (и далеко не все пользователи ежедневно осуществляют резервное копирование важной информации);
• количество вредоносных программ для операционной системы определяется не числом уязвимостей в этой операционной системе, а числом ее пользователей; в Германии число пользователей Linux быстро растет, и количество вредоносных программ для этой ОС более чем удвоилось за 2005-й год;
• для получения доступа к системе вирусописателю не нужно 300 уязвимостей — вполне достаточно одной;
• уязвимости существуют и до того, как их обнаруживают — вирусописатели постоянно ищут новые уязвимости, но предпочитают умалчивать о своих находках;
• только идеальная система может обладать идеальной безопасностью; в книге «Areas for Improvement in the 2.6 Kernel Development Process» Эндрю Мортон (Andrew Morton, ведущий разработчик ядра Linux) утверждает, что количество ошибок в текущей версии ядра 2.6 заставляет разработчиков задуматься над приостановкой дальнейшего развития системы до тех пор, пока все найденные ошибки не будут исправлены.

Не поймите меня неправильно — Linux, разумеется, более защищена, чем средняя стандартная машина под управлением Windows. Причиной тому обязательное разделение на пользователей и администраторов, относительно небольшое число работающих под Linux компьютеров и быстрая реакция на обнаруживаемые уязвимости. И сейчас, учитывая скромное число вредоносных программ для Linux, установка на Linux-компьютер антивирусного сканера это не более чем жест доброй воли в отношении пользователей Windows, с которыми вы часто обмениваетесь файлами. Но если на основании этого большинство пользователей Linux сделает вывод о принципиальной неуязвимости своей ОС, то это приведет лишь к упрощению задачи распространения вредоносных программ для Linux в будущем.

Обратимся к историческим примерам: в 2000 году червь VBS.Loveletter заразил все незащищенные компьютеры под управлением Windows в мире всего за несколько часов. Да, на данный момент ничего похожего в мире Linux не происходило. Но вот вопрос: когда это все-таки случится, успеют ли пользователи подверженных вирусной атаке компьютеров выбрать и установить себе надежный антивирус?